Агентство Европейского союза по сетям и информационной безопасности (ENISA) опубликовало рекомендации по обеспечению безопасности IoT-устройств в контексте объектов критической инфраструктуры. Свой вклад в создание этого документа внесли и эксперты «Лаборатории Касперского».
Отчёт консолидирует знания отрасли по промышленной кибербезопасности, показывает модель угроз промышленного Интернета вещей, а также описывает доступные меры, которые могут защитить от этих угроз. Эксперты «Лаборатории Касперского», участвующие в группе IoTSEC (ENISA IoT Security Experts Group), добавили ряд рекомендаций для тех, кто занимается разработкой унифицированных политик безопасности.
Согласно результатам исследования «Лаборатории Касперского», инциденты с устройствами Интернета вещей входят в тройку угроз с наибольшим финансовым ущербом для компаний. Это относится к компаниям любого размера: как малого и среднего бизнеса, так и больших корпораций.
При этом одной из главных проблем в сфере кибербезопасности индустриальных IoT-устройств до сих пор остаётся отсутствие единых стандартов. Рекомендации ENISA станут важным шагом в сторону унификации практик и политик безопасности, причём они касаются как создателей и пользователей промышленных IoT-устройств, так и разнообразных агентств Евросоюза, разрабатывающих политики безопасности.
«Специалисты «Лаборатории Касперского» имеют глубочайшие экспертные знания в безопасности критических инфраструктур. Мы полагаем, что наш вклад в рекомендации ENISA поможет компаниям разрабатывать более эффективные стратегии кибербезопасности, а регуляторам – устанавливать актуальные и релевантные стандарты, чтобы быть готовыми к борьбе с современными киберугрозами», – сказал Андрей Духвалов, руководитель управления перспективных технологий «Лаборатории Касперского».
Среди основных рекомендаций, разработанных для регуляторов: cфокусироваться на специфичных для конкретного сектора рекомендациях вместо общих; cтандартизировать рекомендации внутри ЕС, установить единую терминологию и классификацию; сотрудничать с представителями индустрии и вовлекать частный сектор в разработку законов, используя действующие ассоциации и объединения, например, AIOTI.
Главные рекомендации для производителей устройств и разработчиков ПО: убедиться, что все сотрудники обладают актуальными знаниями и навыками в области кибербезопасности; обеспечить совместимость данных с надёжной автоматизированной системой установки патчей; провести аудит кода во время процесса внедрения. Это поможет уменьшить количество ошибок в конечной версии продукта, а также выявить любые попытки внедрения вредоносного кода или обхода аутентификации.
Полный текст документа «Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures» можно найти на сайте ENISA.
Пресс-служба «Лаборатории Касперского»
Комментарии